Microsoft Exchange Server đã được vá lỗi lộ lọt thông tin

[WhiteHat News #ID:0911]

Microsoft Exchange Server đã được vá lỗ hổng an ninh quan trọng cho phép tin tặc chiếm quyền truy nhập vào các phiên làm việc Webmail khả dụng bằng cách thức khai thác đơn giản.

Lỗ hổng, được tìm thấy trong ứng dụng Outlook Web Access (OWA) của phần mềm máy chủ thư điện tử Microsoft Exchange Server 2013, cho phép tin tặc tác động khiến Microsoft Exchange Server kết xuất dữ liệu debug trên màn hình bằng cách truy nhập URL độc hại.

Bằng việc chọn lựa thông tin được thể hiện trên màn hình, hacker có khả năng lấy được những thông tin về phiên làm việc cookie vốn trước đó không thể truy nhập.

Dữ liệu này, sau đó, có thể được sử dụng để xác thực dịch vụ OWA của Exchange Server và dành quyền truy nhập vào các phiên làm việc Webmail khả dụng.

Điều này cho phép tin tặc chọn lọc để lấy được những thông tin nhạy cảm và riêng tư từ hệ thống vốn trước đó được cho là an toàn.

Theo ghi nhận từ Cơ sở dữ liệu bảo mật lỗ hổng (NVD) của Mỹ, lỗ hổng này có độ phức tạp ở mức thấp.

Lỗ hổng (CVE-2015-2505) đã được Microsoft vá trong bản cập nhật MS15-103.

Nguồn: Softpedia​